Pois nunca houve uma história de maior sofrimento do que esta de mais uma vez o retorno do Emotet. Desta vez, não houve campanhas em grande escala por cerca de sete meses, embora casos isolados de infecção tenham sido registrados e pesquisadores encontraram documentos distribuindo este malware. Os ataques foram retomados na sexta-feira passada, com o botnet enviando cerca de 250.000 e-mails em questão de horas, com destinatários principalmente nos Estados Unidos e no Reino Unido. Desde então, o botnet continuou a fornecer aos pesquisadores novas amostras ocupando uma posição de liderança no any.run.
Em campanhas recentes, o botnet tem distribuído o trojan IcedID , mas os atacantes podem reconfigurá-lo rapidamente para qualquer carga útil. Lembre-se de que no ano passado Emotet saiu de férias durante todo o verão e depois de um longo tempo ‘voltou à realidade’. Desta vez tudo aconteceu mais rápido, e já estamos ansiosos por suas próximas longas férias. Enquanto isso, os membros do Threat Bounty Program apresentam a vocês novos conteúdos da comunidade para detectar esta ameaça:
Emotet Através de Documento Word (Comportamento Sysmon) by Lee Archinal – https://tdm.socprime.com/tdm/info/2tYN2TlMxm0a/zMQad3MBQAH5UgbB7xy7/?p=1
O inimigo público cibernético Emotet retornou by Osman Demir – https://tdm.socprime.com/tdm/info/mX8YnI2czLHA/pMYLe3MBQAH5UgbBgol9/?p=1
As regras têm traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Acesso Inicial, Execução, Evasão de Defesa, Comando e Controle
Técnicas: Spearphishing Attachment (T1193), Interface de Linha de Comando (T1059), Remoção de Indicador no Host (T1070), Protocolo de Camada de Aplicação Padrão (T1071)
Pronto para experimentar o SOC Prime TDM? Inscreva-se gratuitamente. Ou junte-se ao Threat Bounty Program para criar seu próprio conteúdo e compartilhá-lo com a comunidade TDM.
